Get best of the week

Ataque a udalenka


Nos últimos dias, a mídia russa está cheia de relatos de que especialistas notaram um aumento nos ataques cibernéticos no contexto da transição de pessoas para um local remoto. Como se costuma dizer, a quem a guerra e a quem a mãe é querida. Além disso, várias empresas especializadas em segurança da informação concordam que a natureza dos ataques em 2020 mudou. Vamos ver como o número de ataques de hackers aumentou desde o momento em que as pessoas começaram a trabalhar em casa maciçamente, que tipos de ataques em servidores virtuais e computadores pessoais chegaram ao topo e como se proteger deles.

Estatísticas de ataque de hackers


Nas últimas duas semanas, o número de ataques de hackers de várias centenas aumentou para 5 mil por dia. Os especialistas alertam que sites com as palavras corona ou covid mencionados no domínio, bem como arquivos cujos nomes mencionam coronavírus, representam um perigo potencial. Mas não apenas eles.

Em novembro de 2019, a Kaspersky Lab previu que as chamadas ameaças complexas e ataques direcionados (Ameaças Persistentes Avançadas, TARV) ganhariam impulso no próximo ano: esse era o vazamento de dados biométricos e o uso da IA ​​para criar um perfil da vítima e criar falsas informações (deepfake), e extorsão direcionada. Quanto ao último, havia sugestões de que os invasores se desviariam dos métodos de distribuição de programas universais de ransomware e se concentrariam na seleção direcionada de vítimas que estavam dispostas a pagar muito pela recuperação de seus dados.

No entanto, a pandemia define suas próprias regras e, no relatório da mesma Kaspersky, vemos que, por exemplo, em abril deste ano, o topo das ameaças é liderado por um ataque de intrusão usando um programa de ransomware universal destinado a computadores que executam o Windows. Ele está sendo implementado na tentativa de explorar as vulnerabilidades do SMB (Server Message Block) - um protocolo de rede em nível de aplicativo que funciona através das portas TCP 139 e 445, usadas para fornecer acesso compartilhado a arquivos e impressoras, bem como para acesso remoto a serviços.

A exploração bem-sucedida dessas vulnerabilidades pode resultar na execução remota de código nos computadores atacados, o que permite ao invasor baixar o programa de ransomware e distribuí-lo para outros nós vulneráveis ​​da rede.


Principais ameaças da Kaspersky Lab em abril de 2020

Em segundo lugar, está o ataque Bruteforce, que consiste na seleção de uma senha ou chave de criptografia para o protocolo RDP da área de trabalho remota, que é o protocolo proprietário da Microsoft que fornece ao usuário uma interface gráfica para conectar-se a outro computador pela rede. O protocolo RDP é amplamente usado por administradores de sistema e usuários comuns para controlar remotamente servidores e outros computadores.

E abaixo, no gráfico, está o número total de respostas de antivírus da empresa a ameaças da lista em abril. Há um claro aumento em comparação com o final de março e o início de abril. Todas as estatísticas podem ser visualizadas aqui .



A propósito, outro dia, o Laboratório descobriu uma versão modificada do Android Trojan Ginp, que pede uma taxa por mostrar pessoas infectadas nas proximidades com o vírus SARS-CoV-2.

Um forte aumento de cinco vezes nos ataques cibernéticos foi registrado pela Organização Mundial da Saúde. Os ataques foram realizados tanto no pessoal da empresa como na população.

Comparado ao primeiro trimestre do ano passado, a intensidade dos ataques DDoS dobrou no mesmo período deste ano. No maior ataque DDoS de 2020 nos canais da vítima, o tráfego de lixo com uma intensidade de 406 Gbit / s foi derramado, enquanto o ataque de pico no primeiro trimestre de 2019 foi de 224 Gbit / s. Foram observados 51 ataques com intensidades acima de 50 Gb / s, e a intensidade média foi de 5 Gb / s contra 4,3 Gb / s no ano passado ( Cnews, referente aos dados da empresa Link11).

O número de ataques com vários vetores aumentou de 47% para 64%; no entanto, 66% de todos os ataques com vários vetores consistiam em dois ou três vetores usados ​​simultaneamente. Houve até 19 casos em que os atacantes usaram 10 ou mais vetores! Em 2019, não houve tais ataques. Os métodos mais usados ​​são reflexão de DNS, CLDAP, NTP e WS-Discovery (ibid.).

O número de ataques feitos a partir de botnets baseados em nuvem aumentou: no primeiro trimestre de 2020, cerca de 47% dos ataques DDoS vieram de tais botnets, em comparação com 31% do ano anterior (ibid.).

Nos últimos dias, o Sberbank viu um aumento nos ataques DDoS em seus sistemas. Desde o início do ano, já existem 26. No entanto, o banco afirma estar operando normalmente.

Após a transição das crianças para o ensino a distância, o número de ataques cibernéticos contra instituições educacionais aumentou quatro vezes em abril. Na maioria das vezes, ataques aos sistemas de informação de escolas e universidades são realizados para o roubo de dados pessoais e informações de contato de estudantes, com vistas a seu uso posterior em engenharia social. Prankers que exploram vulnerabilidades em plataformas de aprendizado on-line também são “populares”, invadindo bate-papos e conferências e interferindo no processo de aprendizado (de acordo com a Infosecurity, uma empresa da Softline).

Na darknet, o número de ofertas para a venda de acesso aos servidores de grandes empresas mundiais aumentou 30 vezes: se há um ano eram oferecidas apenas três, então no primeiro trimestre de 2020 - 88! Em um terço dos casos, são empresas com uma renda média anual de US $ 23 bilhões a US $ 45 bilhões, e a infraestrutura das organizações possui até 6.000 computadores. Em plataformas ilegais, eles vendem apenas certos " pontos de entrada " para a infraestrutura interna das empresas. Na maioria das vezes, essas são credenciais hackeadas de um usuário ou administrador local (RIA Novosti com referência aos dados do centro de pesquisa da Positive Technologies, Positive Research).

Os tipos mais comuns de ataques a VPS e PC por 4 meses de 2020


Ataques de spam e phishing. Em cartas, os atacantes exploram o tema da epidemia, com a ajuda de obter as ações necessárias dos usuários (por exemplo, abrir um anexo) que iniciam a execução do código malicioso. Como resultado, os hackers obtêm acesso a desktops remotos, acesso a máquinas comprometidas, a capacidade de monitorar as ações do destinatário, a possibilidade de hackear a criptografia dos servidores da empresa e outras oportunidades que a engenharia social oferece aos invasores.

Pode ser:

  • "Recomendações para proteção contra coronavírus". 
  • Apelações supostamente da Organização Mundial de Saúde para baixar um documento informativo importante, enviar doações ou contribuir para o desenvolvimento de vacinas (a OMS até emitiu um aviso sobre isso).
  • . / -.
  • « » , , , , , . — «».
  • « » - .


Alertas de phishing do Alegadamente Pharmacy.ru

Ataques em áreas de trabalho remotas. Foi detectado um erro de segurança que permite que um invasor obtenha controle total de um computador baseado no Windows através da área de trabalho remota - BlueKeep (CVE-2019-0708). Nas últimas três semanas, o número de nós da rede acessíveis via protocolo RDP aumentou 9% e atingiu mais de 112 mil. Agora, mais de 10% desses recursos estão vulneráveis ​​ao BlueKeep (ibid.).

Ataques DDoS na VPN.Com o aumento de funcionários que trabalham remotamente, o uso de redes VPN, envolvendo acesso de muitos pontos diferentes, aumentou bastante. Isso permite que os organizadores de ataques DDoS sobrecarregem as redes e causem sérias interrupções em todos os processos. É importante aplicar tecnologias proativas à proteção contra ataques DDoS, cujo objetivo é impedir a infecção do sistema do usuário, eliminar possíveis conflitos e ameaças antes que eles ocorram e não procurar malware já conhecido.

Ataques em aplicativos de rede e APIs. Aplicativos e serviços são vulneráveis ​​a ataques como a Camada 7, direcionados à lógica de aplicativos da web. Seu principal objetivo é o esgotamento dos recursos do servidor da web ao processar solicitações "pesadas", funções intensivas de processamento ou memória.


CERT-GIB

:


Resumindo as recomendações de especialistas da primeira parte do artigo, podemos distinguir as seguintes dicas gerais para garantir a segurança das informações em quarentena. Alguns deles parecerão óbvios para muitos por um longo tempo, mas lembrá-los não fará mal.

Verifique se a empresa em cujo nome a carta chegou. A empresa possui redes sociais, qualquer menção a isso na Internet. Os fraudadores podem usar informações abertas sobre a empresa a partir de fontes oficiais; portanto, se você ainda tiver dúvidas, solicite à empresa a confirmação do envio desta carta.

Verifique se os dados no campo do remetente e na assinatura automática correspondem. Curiosamente, muitas vezes já aqui os golpistas cometem um erro.

Veja a extensão dos arquivos anexados.Não abra o arquivo executável.

Instale uma solução de segurança confiável para o seu servidor de email. Deve ser atualizado regularmente e usar bancos de dados atuais.

Use laptops corporativos para funcionários remotos. Instale nele o antivírus corporativo necessário para o funcionamento do software, forneça autenticação de dois fatores, criptografia de disco, um nível adequado de registro de eventos e atualização automática oportuna de todos os sistemas.

Instale a proteção antivírus de última geração no VPS. Por exemplo, oferecemos aos nossos clientes um agente antivírus fácilO Kaspersky para ambientes virtuais, que fornece: proteção de rede em vários níveis contra ataques de rede externos e internos, controle de aplicativos e dispositivos, proteção automática contra explorações, possui autocontrole interno. 

Configure o acesso remoto através de um gateway especial. Para conexões RDP, é RDG (Remote Desktop Gateway), para VPN - Gateway VPN. Não use uma conexão remota diretamente na estação de trabalho.

Use o acesso VPN de autenticação de dois fatores. 

Faça backup dos dados principais.

Instale a proteção DDOS no VPS. Os provedores de nuvem oferecem condições diferentes. Aqui, novamente, a proteção permite suportar de forma estável 1500 Gbit / s. A análise de tráfego ocorre 24/7. Nesse caso, o pagamento é apenas para o tráfego necessário.

Verifique os direitos de acesso dos funcionários e execute a segmentação da rede e a separação dos direitos de acesso.

Use o PortKnocking , a proteção de rede de um servidor com base em um método que permite tornar uma porta "invisível" para o mundo exterior e visível para aqueles que conhecem uma sequência predefinida de pacotes de dados que abrirão a porta (por exemplo, SSH).

Defina restrições ao download de aplicativos de terceiros , especialmente plataformas online e mensageiros de colaboração, para evitar possível vazamento de informações confidenciais.

Verifique todos os serviços e equipamentos usados ​​para acesso remoto para obter atualizações de firmware e patches de segurança.
 
Fornecer treinamento sobre os conceitos básicos de segurança digitalantes que os funcionários partam para um modo de operação remoto.

O seguro contra riscos de TI , é claro, não ajudará a recuperar dados, mas ajudará a cobrir os danos causados ​​por hackers em computadores. É verdade que agora na Rússia esse é um novo tipo de produto para as companhias de seguros, portanto, literalmente, existem unidades. A RUVDS oferece a seus clientes duas opções de seguro: uma política geral para todos ou condições especiais para seguros individuais, discutidas individualmente em cada caso único. 

Separadamente, notamos problemas com 1C no controle remoto. Colocar o 1C in a box para funcionários remotos é caro, inseguro e muitas vezes simplesmente inútil. Não acostumados a esse modo de trabalhar, os contadores esquecerão de sincronizar os dados; erros no trabalho com o sistema exigirão participação remota do administrador do sistema da empresa ou do representante do fornecedor do programa (mediante taxa), existe o risco de que os concorrentes sejam drenados Saída: aluguel de servidores VPS remotos a partir de 1C .

Como monitorar seus serviços em busca de vulnerabilidades típicas


Todos os cenários de monitoramento visam acumular os dados necessários para a investigação mais rápida e eficaz do incidente. O que é importante fazer primeiro?

Monitore o acesso ao armazenamento de arquivos , use SIEM . Idealmente, essa é uma configuração de auditoria para listas de arquivos que os funcionários no site remoto não têm permissão para acessar. O mínimo é configurar o log de acessos de armazenamento e operações de arquivo.


Ilustração do site styletele.com Registre

endereços externos de usuários conectados para trabalho remoto. Use a referência geográfica dos usuários para isso com a ajuda de serviços apropriados (depois de garantir sua segurança).

Identificar estações de trabalho de domínio e não domíniocom uma conexão remota.

Monitore as conexões dos administradores e faça alterações na configuração dos serviços críticos de infraestrutura. Detecte logons duplicados por controle remoto e acompanhe as tentativas de conexão com falha.

E, em geral: execute essas ações antecipadamente, que ajudarão a aumentar a precisão da identificação de conexões ilegítimas na massa de solicitações geradas na rede durante o acesso remoto total.

Esperamos que o material tenha sido útil para você. Como sempre, teremos o maior prazer em fazer comentários construtivos sobre o artigo. Fique em casa e mantenha você e sua empresa em segurança!

More articles:


All Articles